sudo

Debian GNU/Linux

Sziasztok!

Szeretnék a Debian Etch serveremen sudo-t használni.
telepítettem apt-get -tel majd a /etc/sudoers -be beírtam hogy:
elephant ALL=(ALL) ALL

mert az ubuntus desktopomon ugyanez van, és azt gondoltam pont olyat akarok.
de nem kéri a jelszót soha még legelsőre se sudo használatakor, így az egész elveszti az értelmét.

hogy lehet beállítani hogy bizonyos időközönként kérje a jelszót?

köszi

  • 1148 megtekintés

( mazursky | 2008. 03. 19., sze – 16:03 )

miért akarsz sudo-zni? ubuntu alatt lehet hogy megy ez a módi, de debian alatt ott a root. igazából nem látom okát a sudo-nak debian alatt, de fix_me

/mazursky

Sokkal biztonságosabb nem rászokni hogy root-ként lépj be valahova. Többedmagaddal üzemeltetett server-en pedig az a legjobb, ha a root pw-t csak a páncélszekrény ismeri. A rendszergazdák meg lépjenek be csak szépen a saját accountjukra és csak akkor használják a root szerepkört, ha arra feltétlen szükség van.

Ave, Saabi.

( gthomas | 2008. 03. 19., sze – 16:09 )

man sudoers

elephant (ALL)=PASSWD: ALL

?

( Dr_Mac | 2008. 03. 19., sze – 18:04 )

A timestamp_timeout paraméter környékén kéne nézelődnöd.

--------------------------------------------------------------
"Tegnap reggel addig röhögtünk a főnök viccén, míg ki nem derült, hogy az a napi feladat."

( tovis v | 2008. 03. 19., sze – 19:04 )

A sudo magas paranoia szint mellet RÉS A FALON!
Ha csak a saját gépedet piszkálod, akkor is minden root jodosultságű dolgot csökkenteni kell (suid, sudo, root jogú démonok). Én sok év után először most tettem föl sudo -t mert gyenge az UPS -m és muszáj leállítani. Igy a következőket tettem be:
nutALL=(ALL)NOPASSWD: /sbin/upsmon
Így a notify scriptből letudom állítani a gépet.
Amennyiben fűnek-fának odaadod a root jogokat az a windoz szintjére degradálja a rendszeredet.

* Én indián vagyok. Minden indián hazudik.

Eddig itt a hup-on sokszor azt olvastam hogy épp a sudo a biztonsáos és fentebb is ezt írta saabi.
én ehhez nem értek eléggé, de számomra a sudo szimpatikusabb. Mellesleg erre a szerverre rajtam kívül senkinek sincs semmilyen accountja.

-----------------------------
Ubuntu Gutsy Gibbon

( uid_14401 | 2008. 03. 19., sze – 19:28 )

Beírtam neki hogy elephant ALL = PASSWD: ALL
de nem megy. pedig a man azt mondja hogy a default szerint is kell jelszó, kivéve ha NOPASSWD módban van engedélyezve. nekem így ugyanolyan mintha all=all all lenne, ami ubuntun egyébként kér jelszót...

-----------------------------
Ubuntu Gutsy Gibbon

Nem mindig. Ubutnuban úgy van, hogy egyszer kéri, utána akárhányszor nem kéri, de ha X ideig nem nyúlsz a konzolhoz (kb 10-15 perc) akkor újra kéri stb stb. Ezt szerettem volna reprodukálni.

A man szerint az ALL=(ALL) ALL és az ALL=PASSWD ALL is jó kéne legyen, mégse működik. ez a kérdés lényege.

-----------------------------
Ubuntu Gutsy Gibbon

>egyszer kéri, utána akárhányszor nem kéri, de ha X ideig nem nyúlsz a konzolhoz (kb 10-15 perc) akkor újra kéri stb

sudo -v -k kapcsolója, sudoers timestamp_timeout

>ALL=(ALL) ALL és az ALL=PASSWD ALL
a PASSWD is on by default, igaz már előbb is írtad. viszont ha meg ott van, akkor annak nyomatékosítani kellene.

végülis a visudo $EDITOR lehet más, de azért csak nézd meg visudo-val, ne nano /etc/sudoers-el:
There is a hard-coded list of editors that visudo will use set at compile-time that may be overridden via the editor sudoers Default variable. This list defaults to the path to vi(1) on your system, as determined by the configure script. Normally, visudo does not honor the VISUAL or EDITOR environment variables unless they contain an editor in the aforementioned editors list. However, if visudo is configured with the --with-enveditor flag or the env_editor Default variable is set in sudoers, visudo will use any the editor defines by VISUAL or EDITOR. Note that this can be a security hole since it allows the user to execute any program they wish simply by setting VISUAL or EDITOR.